Vulnérabilités dans Django
Date de publication :
Django est un cadre de développement web open source.
CVE-2022-23833[Score CVSS v3.1: 7.5]
La transmission en plusieurs parties de données dans des formulaires sous Django peut entraîner une boucle infinie lors de l'analyse des fichiers. Il est possible de télécharger un fichier malveillant pour saturer la consommation des ressources sur le système. L’exploitation de cette vulnérabilité permet de générer un déni de service.
CVE-2022-22818[Score CVSS v3.1: 7.2]
Le tag {% debug %} présent dans le modèle de page Web est vulnérable à une attaque de type cross-site scripting (XSS). Il est possible d’injecter du code malveillant qui va agir sur le navigateur de l’utilisateur. L’exploitation de cette vulnérabilité permet de voler des cookies contenant des données sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Atteinte à la confidentialité des données
- Déni de service
- Injection de code indirecte à distance (XSS)
Criticité
- Score CVSS v3.1: 7.5 max
La faille est activement exploitée
- Non, pour les 2 CVE présentés
Un correctif existe
- Oui, pour les 2 CVE présentés
Une mesure de contournement existe
- Non, pour les 2 CVE présentés
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-23833
Pour la CVE-2022-22818
Détails sur l’exploitation
Pour la CVE-2022-23833
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2022-22818
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Pour les 2 CVE présentés :
- Django 2.2
- Django 3.2
- Django 4.0
Solutions ou recommandations
Pour les 2 CVE présentés :
- Appliquer la mise à jour Django vers les versions 4.0.2, 3.2.12, 2.2.27 ou toutes les autres versions ultérieures.
- Des informations supplémentaires sont disponibles ici.